现代安全运营中心(SOC)

  • A+
所属分类:安全闲碎

现代安全运营中心(SOC)


1.安全运营中心(SOC)的定义


    A security operations center provides centralized and consolidated cybersecurity incident prevention,detection and response capabilities.  - Gartner
   安全运营中心提供集中和综合的网络安全事件预防、检测和响应能力。

    SOC is first a TEAM. Next a PROCESS. And it uses TECHNOLOGY too.
    SOC首先是一个团队,其次是一个过程,而且它也使用技术。


现代安全运营中心(SOC)


2.现代安全运营中心(SOC)


现代安全运营中心(SOC)

- Teams are organized by skill, not rigid level。按技能组织团队,而不是严格的级别。

- Process structures around threats,not alerts。围绕威胁而非告警的流程结构。

- Threat hunting covers cases where alerts never appear。Threat hunting涵盖了永不出现告警的情况。

- Multiple visibility approaches,not just logs。多种可见性方法,而不仅仅是日志。

- Automation via SOAR works as a force multiplier。通过SOAR实现的自动化是一种力量倍增器。

- Deeper testing and coverage analysis。更深入的测试和覆盖率分析。

- Threat intelligence is consumed and created。威胁情报的消费和创建。

- SOC elegantly uses third party services。SOC优雅地使用第三方服务。


3.NOT现代安全运营中心(SOC)


现代安全运营中心(SOC)


4.现代安全运营中心(SOC)的特点一: 人(PEOPLE)


现代安全运营中心(SOC)

5.现代安全运营中心(SOC)的特点二: 检测工程(DETECTION ENGINEERING)


现代安全运营中心(SOC)


6.现代安全运营中心(SOC)的特点三: 工具(TOOLS)


现代安全运营中心(SOC)

7.现代安全运营中心(SOC)的特点四: 混合(hybrid)


现代安全运营中心(SOC)


8.未来的安全运营中心(SOC)悖论


现代安全运营中心(SOC)


现代安全运营中心(SOC)



往期精选


围观

威胁猎杀实战(六):横向移动攻击检测


热文

全球“三大”入侵分析模型


热文

实战化ATT&CK:威胁情报



现代安全运营中心(SOC)

本文始发于微信公众号(天御攻防实验室):现代安全运营中心(SOC)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: